Wann muss die Cyberversicherung bei fehlenden Updates nicht zahlen: Am 23. Mai 2024 entschied das Landgericht Kiel (Az. 5 O 128/21) über einen spannenden Fall im Bereich des Versicherungsrechts rund um Hackerangriff. Der Fall drehte sich um die Anfechtung eines Versicherungsvertrags aufgrund arglistiger Täuschung durch den Versicherungsnehmer:
Die Versicherung hatte wegen arglistiger Täuschung aufgrund von Falschangaben beim Abschluss der Versicherung den Vertrag im Leistungsfall angefochten – und damit der Zahlung die Grundlage entzogen. Der Versicherungsnehmer werte sich dagegen. Diese Entscheidung ist eine der wenigen zur Einstandspflicht der Cyberversicherung bei einem Hackerangriff und beleuchtet wichtige Aspekte der rechtlichen Anforderungen an die Beantwortung von Risikofragen und die Konsequenzen falscher Angaben im Antragsprozess.
Sachverhalt
Die Klägerin, ein Holzgroßhandel mit 16 Standorten in Norddeutschland, schloss am 12. März 2020 eine Cyber-Versicherung ab. Vermittelt wurde diese Versicherung von einer Assekuradeurin. Bei der Antragstellung wurden Risikofragen beantwortet, die Grundlage für den Vertragsabschluss waren. Später stellte sich heraus, dass einige dieser Antworten falsch waren und relevante Gefahrumstände verschwiegen wurden.
Im Laufe des Versicherungsverhältnisses kam es zu einem Schadensfall, der die Klägerin dazu veranlasste, Ansprüche aus der Cyber-Versicherung geltend zu machen. Die Beklagte verweigerte jedoch die Leistung mit der Begründung, der Versicherungsvertrag sei aufgrund arglistiger Täuschung nichtig.
Rechtliche Analyse
Anfechtung wegen arglistiger Täuschung
Die Kernfrage des Verfahrens war, ob die Beklagte zur Anfechtung des Versicherungsvertrags wegen arglistiger Täuschung berechtigt war. Das Gericht stellte fest, dass die Klägerin die Risikofragen im Antragsprozess falsch beantwortet hatte. Eine solche Täuschungshandlung berechtigt den Versicherer zur Anfechtung des Vertrags gemäß § 123 BGB.
Nichtigkeit des Versicherungsvertrags
Aufgrund der erfolgreichen Anfechtung ist der Versicherungsvertrag von Anfang an nichtig. Dies bedeutet, dass die Beklagte nicht verpflichtet ist, die vereinbarten Versicherungsleistungen zu erbringen. Das Gericht betonte, dass die Anfechtung insbesondere dann gerechtfertigt ist, wenn die falschen Angaben einen erheblichen Einfluss auf die Entscheidung des Versicherers hatten, den Vertrag zu den vereinbarten Bedingungen abzuschließen.
Rechtsfolgen der Anfechtung
Das Gericht wies die Klage insgesamt ab, einschließlich des geltend gemachten Feststellungsantrags und der vorgerichtlichen Rechtsanwaltskosten. Die Klägerin wurde zur Tragung der Kosten des Rechtsstreits verurteilt.
Die Entscheidung ist zu unterscheiden von einer früheren des Landgerichts Tübingen, in der eine Zahlungspflicht einer Versicherung trotz ausgebliebender Updates bejaht wurde: Hier ging es nun um die Frage, ob die Versicherung den Vertrag wegen Täuschung anfechten und sich damit einer eventuellen Leistungspflicht entziehen kann.
Täuschung aus Sicht des Gerichts
Das Gericht kam also zu dem Schluss, dass falsche Angaben gemacht wurden, die auch arglistig erfolgten. Die Klägerin habe die Risiken im IT-System bewusst oder zumindest grob fahrlässig verschwiegen, wodurch der Versicherungsvertrag aufgrund arglistiger Täuschung nichtig sei. Hier lohnt sich ein genauer Blick:
Falschbeantwortung der Risikofragen
Das Landgericht Kiel stellte fest, dass der Versicherungsnehmer (die Klägerin) im Antragsprozess Risikofragen falsch beantwortet hat. Diese betrafen unter anderem die Sicherheitsmaßnahmen und den Zustand der IT-Infrastruktur. Konkret wurden folgende Fragen unrichtig mit „ja“ beantwortet:
- Frage 3: „Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.“
- Frage 4: „Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden“.
Tatsächlich waren im Moment des Angriffs mehrere zentrale Rechner der Klägerin nicht ausreichend geschützt:
- Ein Windows 2008 Server, der für den Betrieb des Webshops genutzt wurde, hatte keine aktuellen Sicherheitsupdates und keinen Virenschutz.
- Zwei Windows 2003 Rechner, die als Speicherplatz dienten, verfügten ebenfalls über keinen Virenschutz und keine aktuellen Sicherheitsupdates.
- Der Domain-Controller DC09 befand sich noch im Auslieferungszustand von 2019 und hatte weder Sicherheitsupdates noch Virenschutz erhalten.
Arglistige Täuschung
Das Gericht bewertete die falschen Angaben als arglistige Täuschung. Der Versicherungsnehmer wusste entweder von den fehlenden Sicherheitsmaßnahmen oder handelte zumindest mit „bewusster Unkenntnis“ im Sinne eines „na wenn schon“ weil er „ins Blaue hinein“ einfach ja gesagt hatte. Der für die IT-Abteilung zuständige Zeuge der Klägerin hatte die Fragen ohne gründliche Überprüfung der tatsächlichen Zustände beantwortet, obwohl dies mit geringem Aufwand möglich gewesen wäre. Dies zeigte sich beispielsweise daran, dass der Zeuge keine Systemüberprüfung durchführte und sich nicht daran erinnern konnte, Rücksprache mit anderen Mitarbeitern gehalten zu haben.
Verteidigung des Versicherungsnehmers
Der Versicherungsnehmer verteidigte sich gegen den Vorwurf der Falschangaben recht umfassend und führte aus:
- Es wurde argumentiert, dass der zuständige Zeuge beim Ausfüllen der Risikofragen nicht an bestimmte veraltete Server gedacht habe und dass diese Server zudem keine zentrale Rolle im täglichen Betrieb spielten.
- Der Versicherungsnehmer behauptete, dass für den Web-SQL-Server mit Windows 2008 ein erweiterter Supportvertrag bestanden habe, was die Beklagte jedoch bestritt.
- Es wurde darauf hingewiesen, dass die Sicherheitsmaßnahmen durch eine doppelte Firewall und eine sogenannte demilitarisierte Zone (DMZ) ausreichend gewesen seien.
- Zudem behauptete der Versicherungsnehmer, dass keine vorsätzliche Täuschung vorliege und der Zeuge davon ausgegangen sei, dass die erforderlichen Sicherheitsmaßnahmen von den zuständigen Mitarbeitern und externen Dienstleistern durchgeführt worden seien.
- Schließlich wurde argumentiert, dass die Risikofragen zu stationären und mobilen Arbeitsrechnern nicht die Server umfassen würden, die im Unternehmen als Speicherplatz dienten.
Den letzten Aspekt finde ich besonders spannend und hierauf geht das Landgericht auch recht umfangreich ein. Um es nochmals zu verdeutlichen: Es geht darum, wenn in Frage 3 nach allen „stationären und mobilen Arbeitsrechnern“ gefragt wurde, ob das auch Server umfasst.
Der Versicherungsnehmer sah das nicht so, das Gericht legte es aber anders aus:
Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen.
Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 – IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt.
Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann.
Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.
Fazit
Die Entscheidung des Landgerichts Kiel unterstreicht die Bedeutung wahrheitsgemäßer Angaben bei der Beantwortung von Risikofragen im Versicherungsantragsprozess – andererseits, dass man nicht zu kleinteilig im Verständnis der Fragen denken darf. Vor allem müssen Versicherungsnehmer darauf achten, sich ausreichend vor Abgabe der Antworten über ihr eigenes System zu informieren.
Versicherungsnehmer sollten sich der Konsequenzen bewusst sein, die falsche oder unvollständige Angaben nach sich ziehen können. Für Versicherer stellt das Urteil eine Bestätigung dar, dass sie bei arglistiger Täuschung durch den Versicherungsnehmer zu Recht vom Vertrag zurücktreten können.
Die Entscheidung muss im Lichte des Einzefalls gesehen werden: Hier fand man u.a. den Domänencontroller noch im Auslieferungszustand vor! Es war also offenkundig so, dass niemals Updates installiert wurden. Auf keinen Fall aber ist es so, dass nur weil man zu Beginn sagt, es werden Updates installiert und dann fehlen einzelne Updates, dass hier dann eine Anfechtung durch den Versicherer im Raum steht. Dass im Fall des Angriffs einzelne Updates nicht vorhanden waren oder kurzfristig Lücken ausgenutzt wurden, wird am Ende gerade der versicherte Umstand sein.
Diese Entscheidung hat am Ende weitreichende Auswirkungen für Unternehmen und Versicherer gleichermaßen, da sie die Notwendigkeit einer sorgfältigen und vollständigen Offenlegung aller relevanten Risikoaspekte bei Vertragsabschlüssen im Versicherungsbereich hervorhebt.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024